Follinaと呼ばれるゼロディ脆弱性が既にランサムウェアフォーラム上で知れ渡っていた事実 2022年5月31日 Minervaのブログから
2022年5月27日にNao_Secというリサーチグループが、MSWordの脆弱性を突いた新たなゼロディ脆弱性を発見しました。この脆弱性による攻撃を別名"Follina"と呼ばれています。この脆弱性はWindowsに標準搭載されているMicrosoft サポート診断ツール (Microsoft Windows Support Diagnostic Tool) が、WordなどのオフィスアプリケーションからURLプロトコルで呼び出された場合に、マクロを無効化していてもOfficeドキュメントを開くことで、PowerShellコードが実行される恐れがあるようです。
この脆弱性を悪用すると、攻撃者は的を絞った相手に対し任意のコードを実行することが可能になります。しかし攻撃者は細工されたファイルを被害者に開封してもらう必要があり、サイバーセキュリティに疎いユーザーであれば、騙してファイルを開かせることができるかもしれません。またランサムウェア集団であるCONTI、CL0P、 ALPHVなどに悪用される可能性があります。この脆弱性による攻撃を確実に防御するには、Minervaの先制防御アプローチが有効です。
ランサムウェアオペレーターにテーラーメイドされたエクスプロイト
今回の脆弱性Follinaは、既にダークウェブ上で取り上げられ、RaaS (ランサムウェアアズアサービス) モデルかどうか議論が繰り広げられていました。Neo Secが脆弱性Follinaの発表以降、多くのダークウェブ運営者はもちろんのこと、ロシア語版のフォーラム「Telegram」と英語版フォーラム「Breached」で、今回の脆弱性について既に取り上げられていました。ロシア語フォーラムの活発なメンバーで周辺から一目置かれているDarckSolというオペレーターはFollinaの実証実験 (PoC) を実施し、悪用できる内容リンクをシェアーしています。
図1:ロシア語フォーラム上で "DarckSol" がゼロディ脆弱性Follinaのダウンロードリンクを共有
多くのハッカー集団がFollinaの実証実験 (PoC) と悪用方法をフォーラム上で紹介しているようですが、現在のランサムウェアの暗号化は非常にスピードが速くなっており、ランサムウェア集団の間では、今回の脆弱性の悪用は、限定利用に絞られそうです。
野放し状態のエクスプロイトコード
Microsoft社は今回の脆弱性について悪用可能性指標 (EI)で、"0 - Exploitation Detected" という評価値をリリースしています。この値は既に脆弱性を悪用した攻撃を確認済みであることを示しており、最優先のセキュリティ更新プログラムとして早急に適用することを推奨していますが、今回の脆弱性攻撃は野放し状態でした。このエクスプロイト攻撃は、MS Officeをターゲットにして、ソーシャルエンジニアリングに依存しながら何の対策をされないまま放置状態でした。
あるランサムウェアオペレーターは既にこのエクスプロイトを悪用しているケースがあるようで、今後、この脆弱性を自分らのツールキットとして悪用するケースが増える恐れがあります。
Minerva Armor (製品名) は悪意のあるドキュメント防御モジュールを装備しており、既に1年以上前から、Follina脆弱性は対策済です。(2021年3月以降のポリシーアップデート適用)
脆弱性Follinaによる対策
- 見知らぬユーザー又は信頼できないユーザーからファイルを受け取っても気軽に開かないこと。
- PC電源をオンする時は、常にMinerva Armor (製品名) エージェントを起動させる。Minervaセキュリティポリシーは常にアップデート状態にしておくこと。
- (機能が実装されていれば) AppLockerの規則の例外でMicrosoft サポート診断ツール (MSDT) をブロックすること。
- ソーシャルエンジニアリングの罠とその他注意事項について社員に教育を施すこと。
Minerva製品(Minerva Armor)についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。